De constatering dat onderzoek naar de menselijke factor binnen cybercrime en cybersecurity nog in de kinderschoenen staat, terwijl er een grote vraag is naar evidence-based praktisch toepasbare kennis is de reden dat De Haagse Hogeschool (HHs) en het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) de handen ineengeslagen hebben voor de totstandkoming van dit lectoraat. Het lectoraat richt zich daarbij op een specifieke doelgroep: het midden- en kleinbedrijf (mkb). Het mbk is de backbone van de Nederlandse economie. Mkb’ers worden echter relatief vaak slachtoffer van cyberaanvallen en hebben niet de capaciteit om zich te weren tegen dergelijke aanvallen. Dit staat in schril contrast met het onderzoek dat wordt uitgevoerd op dit gebied. Onderzoek naar deze doelgroep ontbreekt bij de start van dit lectoraat nagenoeg compleet. Het doel van het lectoraat is om de kennispositie van het mkb op het gebied van cybercrime en cybersecurity te vergroten om zo het slachtofferschap en de impact van cyberaanvallen onder mkb’ers te verlagen. Omdat er nagenoeg geen studies zijn gedaan naar cybersecurity in het mkb zullen eerst basale vragen beantwoord moeten worden. Zo is inzicht nodig in slachtofferschap onder mkb’ers. Hoe vaak komen aanvallen op mkb bedrijven voor? Welke mkb bedrijven worden slachtoffer van cyberaanvallen en zijn er factoren die risicoverhogend of risicoverlagend werken? Wat is de werkwijze van criminelen? En van welke zwakke plekken maken criminelen gebruik om hun aanvallen uit te voeren? Tegelijkertijd moet worden onderzocht hoe mkb’ers zichzelf weerbaarder kunnen maken. Weten mkb’ers welke risico’s ze lopen, hoe ze aanvallen kunnen detecteren en afslaan? Welke factoren beïnvloeden de weerbaarheid? Welke interventiemogelijkheden zijn er om de weerbaarheid te verhogen? De bescherming van het mkb tegen cyberaanvallen ligt echter niet alleen bij het mkb zelf. Ook andere partijen hebben hierbij een rol. Daarom moet onderzocht worden welke rol politie en justitie nog hebben bij de aanpak van cybercrime gericht op het mkb.
Naar een cyberweerbaar Amersfoort. Aanzetten voor gerichte risicocommunicatie ter bevordering van de cyberweerbaarheid op basis van een onderzoek onder het Amersfoortse Burgerpanel. Lectoraat Maatschappelijke Veiligheid, Hogeschool Saxion.
MULTIFILE
In dit rapport ronden de lectoraten Maatschappelijke Veiligheid van Hogeschool Saxion en Cybercrime & Cybersecurity van de Haagse Hogeschool het RAAK-publiek project ‘Cyberweerbaarheid: Een gemeentelijk offensief ter preventie van slachtofferschap van cybercrime’ af. Samen met onze consortiumpartners richtten de lectoraten zich in dit twee jaar durende project op de hoofdvraag ‘Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten?’. Duidelijk was dat cybercriminaliteitlle doelgroepen in de samenleving een actuele en urgente dreiging vormt. Allereerst werden daarom door het consortium de doelgroepen en specifieke delicten geselecteerd waarop – op basis van literatuur en interviews met experts die met de doelgroepen werken – met voorrang moest worden geïnvesteerd op de cyberweerbaarheid. Dit heeft geresulteerd in de keuze voor drie doelgroepen: jongeren voor phishing, misbruik van seksueel beeldmateriaal en geldezelen; ouderen voor digitale oplichting (waaronder phishing) en mkb’ers voor phishing en ransomware. Voor elk van deze doelgroepen is verdiepend onderzoek naar de weerbaarheid tegen de geselecteerde delicten uitgevoerd op basis van representatief vragenlijstonderzoek en verdiepende interviews onder leden van de gekozen doelgroepen. Tevens is daarbij onderzocht wat de verklarende variabelen zijn voor zelfbeschermend gedrag. Aan de hand van deze brede kennisbasis zijn door de onderzoekers van de hogescholen, in nauwe samenwerking met de consortiumpartners uit de praktijk, vier interventies ontwikkeld en geëvalueerd: 1. ‘Doorsturen doe je niet!’ om jongeren weerbaarder te maken tegen misbruik van seksueel beeldmateriaal; 2. Instagram-campagne om jongeren weerbaarder te maken tegen geldezelen; 3. Laat je geen h@ck zetten! om ouderen weerbaarder te maken tegen digitale oplichting; 4. MKB Cyber Buddy’s om mkb’ers weerbaarder te maken tegen ransomware. De interventies ter preventie van slachtofferschap van phishing konden, met het oog op de beschikbare tijd en capaciteit, helaas niet binnen de spanne van dit project worden ontwikkeld. In overleg met het consortium is besloten deze vier interventies te ontwikkelen en na implementatie te evalueren. De interventies die ontwikkeld zijn binnen dit project onderscheiden zich van bestaande interventies omdat de door ons ontwikkelde interventies evidence-based zijn. Daarmee vormen deze interventies een belangrijke bouwsteen in de landelijke beweging naar een evidence-based aanpak van cyberweerbaarheid. Inmiddels zijn de samenwerkende lectoraten van dit project door de Citydeal Lokale Cyberweerbaarheid gevraagd om te helpen met het verder uitrollen van deze evidence-based aanpak door alle beschikbare interventies buiten dit project van een procesevaluatie en effectevaluatie te voorzien. Dit wordt opgepakt vanuit het consortium bij de recent toegekende SPRONG-subsidie, waarmee de samenwerkende lectoraten met hun praktijkpartners uit dit RAAK-publiek project een duurzame bijdrage blijven leveren aan het evidence-based werken aan de cyberweerbaarheid van de Ne - derlandse samenleving. Daarbij blijft de kracht van maatwerk risicocommunicatie binnen be - staande, lokale netwerken een cruciale pijler in de aanpak van het grenzeloze vraagstuk van cybercriminaliteit. Helaas is de noodzaak voor die aanpak groter en actueler dan ooit.
Ambtenaren openbare orde en veiligheid spelen een centrale rol in de zorg voor maatschappelijke veiligheid. Hun focus ligt van oudsher op de preventie van slachtofferschap van veelvoorkomende criminaliteit (zoals diefstal, vernielingen en vandalisme) en high impact crime (zoals woninginbraak, overvallen en straatroven) binnen hun verzorgingsgebied. Intussen heeft de digitalisering van de samenleving een ongeëvenaarde gelegenheid voor criminaliteit gecreëerd. De totale maatschappelijke schade van cybercrime werd voor 2018 op 10 miljard euro geschat (1% van BNP). Uit cijfers van het CBS blijkt dat tussen 2012 en 2018 het slachtofferschap van hacken zelfs hoger lag dan dat van fietsendiefstal. Nederlandse gemeenten hebben cybercrime in de afgelopen twee jaar dan ook breed als beleidsprioriteit omarmd. Maar in de vertaling van deze beleidsprioriteit naar concrete acties gaat het mis. Duidelijk is dat de ambtenaren openbare orde en veiligheid een taak voor zichzelf zien in de preventie van cybercrime, maar waar te beginnen? In dit project bundelen professionals uit twaalf gemeenten en vier regionale veiligheidsnetwerken hun slagkracht met onderzoekers van twee hogescholen en het NSCR voor de cyberweerbaarheid van de samenleving. De hoofdvraag van dit project luidt: Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten? Middels actieonderzoek werken professionals van gemeenten en regio’s samen met onderzoekers aan het verbeteren van bestaande en het ontwikkelen van nieuwe interventies. Daarbij verscherpen zij hun beeld van de omvang en achtergronden van slachtofferschap van cybercrime. Ook onderzoeken zij achtergronden en verklaringen voor het risicobewustzijn en preventief gedrag onder doelgroepen. Deze inzichten worden in verschillende iteraties aangevuld met effectstudies, om tot een set beproefde interventies te komen waarmee de cyberweerbaarheid van burgers en bedrijven zal toenemen.
Hoe kun je mensen op de werkvloer helpen zich digitaal veiliger te gedragen? En daarmee de digitale veiligheid van bedrijven tegen cyberaanvallen verhogen? Daartoe willen we in dit voorstel een aanpak ontwikkelen op basis van wetenschappelijk inzichten over gedrag en design: een gebruikersgerichte aanpak voor bruikbare cybersecurity. Deze aanpak richt zich op het vergroten van de digitale weerbaarheid van Nederlandse bedrijven via het ontwerp van beveiligingsmaatregelen. Onze huidige set van maatregelen is veelal ontwerpen vanuit de techniek, zonder oog te hebben voor de eindgebruiker. Deze maatregelen worden op de werkvloer dan ook veelal ervaren als hinderlijk voor de uitvoering van het werk. Met als gevolg dat mensen ze omzeilen en daarmee de digitale veiligheid in gevaar brengen. De uitdaging is het ontwerpen van veiligheidsmaatregelen die via hun ontwerp onveilig gedrag ontmoedigen, onmogelijk maken of veilig gedrag juist aanmoedigen. Met deze aanpak kunnen professionals zelf aan de slag met het verhogen van de digitale veiligheid op de werkvloer. Dit project is uniek omdat een dergelijke aanpak nog niet bestaat. Voor het ontwikkelen van deze aanpak maken we gebruik van de methode van co-creatie. 'Co' staat in dit geval voor de samenwerking tussen ontwerpers, inhoudelijk experts en de beroepspraktijk, die de dienst of het product gaan gebruiken of ermee te maken krijgen. 'Creatie' is hier het onderzoeken, ontwikkelen en realiseren van de aanpak voor je beroepspraktijk. Een belangrijk voordeel van deze methode is dat hiermee betrokkenheid wordt gecreëerd onder de stakeholders. Ook worden fouten in de aanpak eerder ontdekt doordat snel naar een prototype wordt toegewerkt. De belangrijkste oplevering van het samenwerkingsverband is een handelingskader en bijbehorende materialen, zoals werkbladen. Het kader kan een handleiding bieden voor cybersecurity professionals en ontwerpers in de beroepspraktijk om de digitale veiligheid in ondernemingen te vergroten.
De SPRONG-groep richt zich op het cyberweerbaarder maken van Nederland. Het aantal cyberaanvallen neemt alleen maar toe, terwijl de weerbaarheid van organisaties achter blijft. Door publieke en private organisaties beter toe te rusten op cyberdreigingen heeft de SPRONG-groep directe impact. De focus ligt daarbij niet zozeer op de techniek, maar juist op de mens: welke gedrag- en houdingsaspecten beïnvloeden cyberweerbaarheid en hoe kunnen organisaties deze aspecten t.b.v. cyberweerbaarheid verbeteren? Drie hogescholen met een stevig track-record op het thema cyberweerbaarheid – De Haagse Hogeschool, Saxion en NHL Stenden – vormen de kerngroep. De SPRONG-groep zal kennis en ervaring met elkaar delen en het netwerk verder uitbouwen. De samenwerking met lokale en regionale partners wordt geïntensiveerd door kennismakelaars uit de praktijk te koppelen aan onderzoekers uit de kerngroep. Door het benutten van bestaande infrastructuren van de landelijke partners en academische kennisinstellingen wordt gewerkt aan professionalisering en een nauwe wisselwerking tussen praktijkgericht onderzoek en fundamenteel onderzoek. Zo wordt mogelijk gemaakt dat de kennis op cyberweerbaarheid zich blijft ontwikkelen. De kernactiviteiten zijn gericht op: ● Het opbouwen van een duurzaam expertisenetwerk van onderzoekers en kennismakelaars in de beroepspraktijk voor continue vraagarticulatie en disseminatie van kennis op het gebied van cyberweerbaarheid; ● Het organiseren van activiteiten binnen een gezamenlijk professionaliseringsnetwerk voor talentvolle praktijkgerichte onderzoekers en het leveren van een structurele bijdrage aan het hbo-onderwijs en nascholingsaanbod op het gebied van cyberweerbaarheid; ● Het gezamenlijk opbouwen en onderhouden van een landelijke monitor cyberincidenten en de inrichting van lab-omgevingen waarbinnen experimenten en simulaties kunnen worden uitgevoerd gericht op het daadwerkelijke gedrag van individuen binnen organisaties. De ambitie van de SPRONG-groep is om uit groeien tot het toonaangevende expertisenetwerk op het gebied van vraagstukken rondom cyberweerbaarheid binnen publieke en private organisaties, dat hoogwaardige, relevante en praktisch toepasbare kennis ontwikkelt op het gebied van cybersecurity binnen organisaties.
